Múltiples vulnerabilidades en productos de B&R
Para CVE-2025-11043:
- Automation Studio, versiones anteriores a la 6.5
Para CVE-2025-11044:
- Automation Runtime, versiones anteriores a 6.5.0 e inferiores a R4.93
B&R ha publicado 2 avisos de seguridad que resuelven, en total, 1 vulnerabilidad de severidad crítica y 1 alta. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante hacerse pasar por un ente de confianza o bloquear el producto.
Según el producto, actualizarlo a la versión indicada:
- Automation Studio, versión 6.5;
- Automation Runtime 6, versión 6.5 o superior;
- Automation Runtime 4, versión R4.93 o superior.
CVE-2025-11043: validación de certificado de servidor incorrecta en el cliente OPC-UA y ANSL sobre el cliente TLS utilizado en Automation Studio puede permitir a un atacante no autenticado suplantar una entidad de confianza y así interceptar e interferir en los intercambios de datos.
CVE-2025-11044: el componente ANSL-Server en Automation Runtime. Un atacante podría aprovechar la vulnerabilidad enviando tráfico de red malicioso al nodo del sistema, lo que provocaría la detención del nodo. La vulnerabilidad no se puede aprovechar en todos los dispositivos y no en todas las aplicaciones de los clientes, ya que para que la explotación tenga éxito es necesario ganar una condición de carrera.
